Dit weten we van WasterLocker dat Garmin gijzelde

De Garmin GPS-diensten waren bijna vier dagen niet bereikbaar als gevolg van wat Garmin zelf houdt op een storing van de servers. Ingewijden vertellen echter dat computers in het Garmin-netwerk besmet raakte met WasterLocker ransomware. Garmin zou al dan niet zelf servers hebben uitgezet om te voorkomen dat de malware zich verspreidde door het systeem.

Thijs DoorenboschMeer van deze auteur

ransomware — © CC0 - Pixabay.com

CC0 - Pixabay.com

WasterLocker komt uit de koker van Evil Corp, een organisatie opgezet door de Russische hackers Igor Turashev and Maksim Yakubets. Eerder dit jaar zagen zij hun kans schoon door hun pijlen te richter op mensen die als gevolg van het uitbreken van de Covid-19-pandemie zich opeens gedwongen zagen thuis te werken.

Bij veel bedrijven en overheidsorganisaties was de beveiliging niet ingericht op thuiswerken, waardoor hackers makkelijker konden toeslaan. Evil Corp wil tussen de 500.000 en 1 miljoen dollar hebben in ruil voor het ontsleutelen van de gegevens. De criminelen richten zich op grote organisaties Computerbeveiliger Symantec telde eind juni al meer dan 30 vooral Amerikaanse organisaties uit de Fortune 500 die het slachtoffer waren van WasterLocker en bij wie voor vele miljoenen dollars losgeld was geëist.

Recordbounty op hoofd criminelen

De Amerikaanse opsporingsdiensten hebben een beloning van 5 miljoen euro voor informatie die leidt tot de aanhouding van de twee oprichters van Evil Corp. Het is de hoogste beloning die tot nog toe 'op het hoofd' van cybercriminelen is gezet.

WasterLocker wordt verspreid via spam e-mail, als bijlagen van e-mail, via gemanipuleerde websites maar ook via software-installatiebedrijven. Volgens het Sensors Tech Forum zijn er zo'n 150 sites gemanipuleerd waardoor deze een omleiding in gang zetten naar de host waarvan de Javascript-malware wordt gedownload. Die presenteert zich aanvankelijk als een update van de browsersoftware. Vervolgens word de malware-actie in een aantal stappen ingezet. Eerst wordt met Cobalt Strike-malware informatie verzameld over de computer en de gebruikers. Vervolgens maakt de malware gebruikt van het activerings- en updatemechanisme van Windows om rechten als administrator te krijgen. Daarbij wordt Windows Defender uitgeschakeld.

Daarna wordt de daadwerkelijke ransomware-code actief en versleutelt alle informatie. Elke besmette computer toont dan een waarschuwing en een eis om losgeld te betalen. Een gedetailleerdere analyse van de werking van WasterLocker staat in een blog van Jim Walter op de site van SentinelLabs.